5.2.5  訪問(wèn)控制

訪問(wèn)控制包含4個(gè)控制目標(biāo)14個(gè)控制措施。

　　組織應(yīng)建立統(tǒng)一的訪問(wèn)控制策略并形成正式文件。資產(chǎn)責(zé)任人應(yīng)決定訪問(wèn)其資產(chǎn)的指定用戶的適當(dāng)?shù)脑L問(wèn)控制規(guī)程、訪問(wèn)權(quán)利和限制，訪問(wèn)控制策略需有適量的細(xì)節(jié)和嚴(yán)格的控制措施，以反映相關(guān)的信息安全風(fēng)險(xiǎn)。訪問(wèn)控制包括邏輯的和物理的，它們要一起考慮。要給用戶和服務(wù)提供商提供一份清晰的滿足業(yè)務(wù)要求的說(shuō)明。在規(guī)定訪問(wèn)控制規(guī)則時(shí)，建議在

“未經(jīng)明確允許，則一律禁止”的前提下，而不是“未經(jīng)明確禁止，一律允許”的弱規(guī)則的基礎(chǔ)上建立規(guī)則。訪問(wèn)控制策略需適用于物理環(huán)境、網(wǎng)絡(luò)、服務(wù)器、終端、應(yīng)用系統(tǒng)和信息等多類對(duì)象，并分別留存不同用戶的訪問(wèn)控制授權(quán)記錄。

組織要制定關(guān)于使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略。網(wǎng)絡(luò)服務(wù)使用策略要與業(yè)務(wù)訪問(wèn)控制策略相一致，并保存網(wǎng)絡(luò)日志。